365-AWS SAP AWS 「理論・実践・一問道場」エグレス専用インターネットゲートウェイ

type

status

date

slug

summary

理論

1. IPv6の導入

IPv6は、IPv4のアドレス枯渇問題を解決するために設計された次世代のインターネットプロトコルです。IPv4アドレスは32ビットの長さですが、IPv6は128ビットで構成され、膨大な数のユニークIPアドレスを提供します。

Amazon VPCにおけるIPv6の設定:

VPCにIPv6アドレスを導入する際、Amazon提供のIPv6 CIDRブロックを使用するのが一般的です。これは、AWSが提供するIPv6アドレス空間をVPCに関連付ける方法です。
カスタムIPv6 CIDRブロックも使用できますが、Amazon提供のブロックの方が簡便で自動的に設定される場合が多いです。

2. エグレス専用インターネットゲートウェイ（Egress-Only Internet Gateway）

エグレス専用インターネットゲートウェイは、IPv6トラフィック専用で、インターネットへのアウトバウンド（送信）通信を許可するが、インターネットからのインバウンド（受信）通信はブロックする機能です。

プライベートサブネットにあるEC2インスタンスがインターネットにアクセスできるようにする一方で、セキュリティ上の理由から外部からのアクセスを拒否するために有効です。

NATゲートウェイはIPv4専用で、IPv6通信には対応していないため、IPv6対応のアウトバウンドトラフィックにはエグレス専用インターネットゲートウェイを使用する必要があります。

3. VPCルートテーブルの更新

IPv6導入時には、VPC内のルートテーブルを適切に更新し、各サブネットに対して適切なルートを追加する必要があります。特にプライベートサブネットの場合、アウトバウンド通信（::/0）をエグレス専用インターネットゲートウェイにルーティングする設定が求められます。

パブリックサブネットの場合は、インターネットゲートウェイへのルートを追加し、インターネットへのアクセスを許可します。

4. プライベートサブネットとパブリックサブネットの設計

プライベートサブネット：インターネットから直接アクセスできないように設計されたサブネットで、通常はNATゲートウェイまたはエグレス専用インターネットゲートウェイを使用して外部との通信を行います。

パブリックサブネット：インターネットから直接アクセス可能なサブネットで、インターネットゲートウェイを介して外部と通信します。

5. セキュリティとアクセス制御

セキュリティグループやネットワークACL（アクセス制御リスト）を使用して、各サブネットにおけるインバウンドおよびアウトバウンドのトラフィックを制御できます。これにより、特定のIPアドレスやポートに対するアクセスを制限できます。

まとめ

IPv6対応のインターネット接続: エグレス専用インターネットゲートウェイを使用することで、プライベートサブネットのEC2インスタンスがインターネットへ安全にアクセスできるようになります。

VPC設計の最適化: プライベートおよびパブリックサブネットを適切に設計し、各サブネットに対して適切なルートとセキュリティ設定を行うことが、効率的かつ安全なネットワーク構成の鍵となります。

この知識を踏まえて、AWS上でのIPv6移行やネットワーク設計を行うことができます。

実践

略

一問道場

質問 #365

ある会社が、数千のAmazon EC2インスタンスで構成されたワークロードを実行しています。このワークロードは、複数のパブリックサブネットとプライベートサブネットを含むVPCで実行されています。パブリックサブネットにはインターネットゲートウェイへの0.0.0.0/0ルートがあり、プライベートサブネットにはNATゲートウェイへの0.0.0.0/0ルートがあります。

ソリューションアーキテクトは、EC2インスタンス全体をIPv6を使用するように移行する必要があります。プライベートサブネットにあるEC2インスタンスは、パブリックインターネットからアクセスできないようにする必要があります。

要件を満たすためにソリューションアーキテクトは何をすべきでしょうか？

A. 既存のVPCを更新し、VPCおよびすべてのサブネットにカスタムIPv6 CIDRブロックを関連付けます。すべてのVPCルートテーブルを更新し、::/0のルートをインターネットゲートウェイに追加します。

B. 既存のVPCを更新し、VPCおよびすべてのサブネットにAmazon提供のIPv6 CIDRブロックを関連付けます。すべてのプライベートサブネットのVPCルートテーブルを更新し、::/0のルートをNATゲートウェイに追加します。

C. 既存のVPCを更新し、VPCおよびすべてのサブネットにAmazon提供のIPv6 CIDRブロックを関連付けます。エグレス専用インターネットゲートウェイを作成します。すべてのプライベートサブネットのVPCルートテーブルを更新し、::/0のルートをエグレス専用インターネットゲートウェイに追加します。

D. 既存のVPCを更新し、VPCおよびすべてのサブネットにカスタムIPv6 CIDRブロックを関連付けます。新しいNATゲートウェイを作成し、IPv6サポートを有効にします。すべてのプライベートサブネットのVPCルートテーブルを更新し、::/0のルートをIPv6対応のNATゲートウェイに追加します。

解説

この問題は、既存のVPC内でIPv6を使用する方法に関するものです。特に、プライベートサブネットにあるEC2インスタンスがパブリックインターネットからアクセスできないようにしつつ、IPv6を有効にする方法を問うています。解説は以下の通りです。

要件：

IPv6の導入: すべてのEC2インスタンスはIPv6を使用する必要があります。

プライベートサブネットのインスタンスがインターネットからアクセスできない: プライベートサブネットにあるEC2インスタンスは、インターネットからアクセスできないようにする必要があります。

各選択肢の解説：

A. 既存のVPCを更新し、VPCおよびすべてのサブネットにカスタムIPv6 CIDRブロックを関連付け、すべてのVPCルートテーブルを更新し、::/0のルートをインターネットゲートウェイに追加する。

誤り: カスタムIPv6 CIDRブロックを使う場合、インターネットゲートウェイを介してすべてのIPv6トラフィックをインターネットにルーティングすることになります。しかし、プライベートサブネットのインスタンスはインターネットからアクセスできないようにする必要があるため、インターネットゲートウェイを使用するのは不適切です。

B. 既存のVPCを更新し、VPCおよびすべてのサブネットにAmazon提供のIPv6 CIDRブロックを関連付け、すべてのプライベートサブネットのVPCルートテーブルを更新し、::/0のルートをNATゲートウェイに追加する。

誤り: NATゲートウェイはIPv4トラフィックをインターネットにルーティングするためのものですが、IPv6トラフィックには対応していません。したがって、IPv6のトラフィックをNATゲートウェイにルーティングすることはできません。

C. 既存のVPCを更新し、VPCおよびすべてのサブネットにAmazon提供のIPv6 CIDRブロックを関連付け、エグレス専用インターネットゲートウェイを作成し、すべてのプライベートサブネットのVPCルートテーブルを更新し、::/0のルートをエグレス専用インターネットゲートウェイに追加する。

正解: エグレス専用インターネットゲートウェイは、IPv6トラフィックがインターネットへのアウトバウンド通信のみを行えるようにするもので、インターネットからのインバウンド通信を防ぎます。これにより、プライベートサブネット内のインスタンスはIPv6を使用してインターネットにアクセスできますが、インターネットからアクセスされることはありません。これが要件を満たします。

D. 既存のVPCを更新し、VPCおよびすべてのサブネットにカスタムIPv6 CIDRブロックを関連付け、新しいNATゲートウェイを作成し、IPv6サポートを有効にし、すべてのプライベートサブネットのVPCルートテーブルを更新し、::/0のルートをIPv6対応のNATゲートウェイに追加する。

誤り: 新しいNATゲートウェイを作成してIPv6をサポートすることはできますが、NATゲートウェイ自体がIPv6に対応していないため、IPv6のトラフィックをルーティングすることができません。NATゲートウェイはIPv4専用のサービスです。

結論：

最も適切な選択肢はCです。エグレス専用インターネットゲートウェイを使用して、プライベートサブネットのEC2インスタンスがIPv6を利用してインターネットへのアウトバウンド通信を行い、インターネットからのアクセスを防ぐことができます。